ZEC se desploma un 30% tras detectar vulnerabilidad de falsificación en Zcash: el bug de Orchard que permite crear tokens ilimitados

El precio de ZEC se desplomó más del 30% en 24 horas, hasta los $410, después de la divulgación pública de una vulnerabilidad crítica de falsificación en el pool Orchard de Zcash que permitiría acuñar una cantidad ilimitada de tokens. El fallo, descubierto el 29 de mayo por el ingeniero de seguridad Taylor Hornby, fue parcheado mediante un hard fork activado el 3 de junio, pero la ausencia de pruebas criptográficas sobre su posible explotación previa ha generado alarma en el mercado, reduciendo la capitalización de mercado en más de $3 mil millones.

El descubrimiento del bug

Taylor Hornby, ingeniero de seguridad contratado por Shielded Labs, descubrió el fallo crítico el 29 de mayo de 2025 durante una revisión específica del circuito Orchard. Para ello, utilizó Claude Opus 4.8, un modelo de inteligencia artificial lanzado el 28 de mayo, con el que logró identificar un bug que permitía entradas falsas en una verificación de multiplicación de curvas elípticas.

Tras el hallazgo, Hornby construyó y probó un exploit funcional que generó ZEC falsificado ilimitado en un entorno de prueba. Según los investigadores: Si hubiera ejecutado la misma herramienta en la mainnet de Zcash, habría generado ZEC falsificado ilimitado e indetectable en su billetera de mainnet.

La respuesta de emergencia

El bug se reportó al Zcash Open Development Lab (ZODL) el mismo 29 de mayo, lo que desencadenó el despliegue de una respuesta de emergencia que culminó con un hard fork activado el 3 de junio de 2025. El fallo había estado presente desde mayo de 2022, es decir, más de tres años sin ser detectado.

Shielded Labs, la firma responsable del descubrimiento, afirmó no estar excesivamente preocupada por el incidente. La compañía argumentó que el bug era lo suficientemente sutil como para eludir años de revisión experta, y que su descubrimiento fue el resultado de un esfuerzo deliberado y altamente cualificado utilizando herramientas de vanguardia e inteligencia artificial.

Actualmente, Shielded Labs trabaja en una propuesta de actualización de red que permitirá verificar la integridad del suministro de ZEC y probar la inexistencia de tokens falsificados en el pool Orchard.

Impacto en el mercado y reacciones

La cotización de ZEC cayó a $410 al momento de redactar este artículo, lo que representa un desplome superior al 30% en 24 horas. Según datos de TradingView, la caída se produjo tras dos meses de ganancias sólidas, reduciendo la capitalización de mercado en más de $3 mil millones.

Figuras destacadas del sector reaccionaron al incidente. Arthur Hayes, cofundador de BitMEX, expresó que es improbable que se haya acuñado ZEC ilegalmente, aunque reconoció que no puede probarse criptográficamente que sea imposible. En una declaración contundente, Hayes afirmó: Debido al exploit del pool Orchard, tuve que liquidar toda nuestra cartera de ZEC. Además, señaló que La Santísima Trinidad ha muerto, en referencia a Zcash y los otros dos tokens que vendió esta semana: Hyperliquid (HYPE) y Near Protocol (NEAR).

Por su parte, Mert Mumtaz, CEO de Helius, señaló que casi todos los protocolos de privacidad tienen variantes de esta misma vulnerabilidad. Este mismo FUD regresa cada cinco meses a medida que nuevas personas aprenden cómo funcionan los pools de privacidad, explicó. Mumtaz también aclaró que se trata de un riesgo teórico en la mayoría de los protocolos de privacidad de conocimiento cero debido a bugs de circuito difíciles de explotar o detectar.

No es la primera vulnerabilidad de falsificación en Zcash. En 2018, un bug similar en la criptografía subyacente a las zk-proofs fue descubierto por Electric Coin Company. En 2019, el fallo se remedió sin pérdidas reportadas.

Contexto técnico y perspectivas

El bug afecta al circuito Orchard, el componente criptográfico subyacente al pool protegido Orchard de Zcash. La manipulación permitía engañar a las matemáticas que verifican criptográficamente las transacciones. El problema clave radica en que no existe forma criptográfica de probar si alguien explotó el bug antes del parche debido a las propiedades de privacidad de Orchard.

La vulnerabilidad expone desafíos persistentes en la seguridad de protocolos de privacidad ZK. La combinación de inteligencia artificial, en este caso Claude Opus 4.8, con revisión de seguridad humana representa una nueva frontera en la detección de bugs.

Respecto a las implicaciones para la privacidad en criptomonedas, Mumtaz insistió en que el riesgo es teórico y común en protocolos de privacidad de conocimiento cero. La dificultad de explotación y detección es alta, lo que reduce la probabilidad de uso malicioso. Cabe destacar que, según datos de CertiK, las pérdidas por exploits en criptomonedas cayeron un 90% en mayo respecto al mes anterior, hasta los $68 millones.

Próximos pasos

Shielded Labs trabaja con desarrolladores de Zcash en una actualización de red que permita verificar el suministro total de ZEC y demostrar la ausencia de tokens falsificados. La comunidad de Zcash deberá evaluar la confianza en el protocolo tras este incidente, que ha puesto de manifiesto tanto la sofisticación de las herramientas de detección modernas como las vulnerabilidades inherentes a los sistemas de privacidad basados en conocimiento cero.